Wix Vibe Platform: Kritikus Biztonsági Hiba Fedezhető Fel

A Wix Vibe kódoló platformján felfedezett súlyos sebezhetőség komoly aggodalomra ad okot, mivel lehetőséget biztosít a támadóknak arra, hogy megkerüljék az autentikációt és hozzáférjenek privát vállalati alkalmazásokhoz. A felhőbiztonsággal foglalkozó Wiz cég által végzett kutatás során kiderült, hogy a Base44 platformon található app_id azonosítók nyilvános helyeken, például az alkalmazás URL-jében és a manifest.json fájlban is felfedezhetők voltak. Ez a sebezhetőség különösen aggasztó, mivel a támadók egyszerűen hozzáférhettek ezekhez az azonosítókhoz, akár a felhasználói regisztráció letiltása esetén is.

Sérülékenység részletezése

A Wix platformján felfedezett hiba lehetővé tette, hogy a támadók a nyilvánosan elérhető információk felhasználásával generáljanak egy ellenőrzött fiókot. Az app_id azonosító, amely egy véletlenszerűen generált szám, közvetlenül látható volt a URI-ban és a manifest.json fájlban, így a támadók könnyedén kihasználhatták azt. Az ilyen típusú sebezhetőségek különösen veszélyesek, mivel a vállalati biztonsági protokollok, mint például az egységes belépés (SSO), nem tudták megakadályozni a jogosulatlan hozzáférést.

Az eljárás rendkívül egyszerű volt, nem igényelt különösebb technikai tudást. Miután a támadó azonosította a valós app_id-t, olyan eszközöket használhatott, mint a Swagger-UI, hogy új fiókot regisztráljon, amelyhez egy egyszeri jelszó (OTP) érkezett emailben. Ezután a SSO folyamaton keresztül belépve teljes hozzáférést nyerhetett a belső rendszerekhez, még akkor is, ha az eredeti hozzáférés bizonyos felhasználókra vagy csapatokra volt korlátozva.

A Wix reakciója és a hiba javítása

A Wiz által végzett kutatás alapján a Wix gyorsan reagált a felfedezett problémára, és 24 órán belül orvosolta a sebezhetőséget. A jelentés szerint nem áll rendelkezésre bizonyíték arra, hogy a hibát valaha is kihasználták volna, és a Wix megnyugtatóan nyilatkozott arról, hogy elkötelezettek a felhasználók és adataik védelme mellett. A Wix nyilatkozata szerint folyamatosan befektetnek a termékeik biztonságának erősítésébe, és proaktívan kezelik a potenciális sebezhetőségeket.

Azonban a Wiz jelentése felveti a kérdést, hogy ha a hiba felfedezése ilyen egyszerű volt, akkor miért nem volt a Wix proaktív a saját biztonsági intézkedéseik javítása érdekében? A nyilvánosan elérhető app_id-k és a manifest.json fájlok kitettsége nyilvánvalóan könnyen észlelhető, így a Wix biztonsági auditjának alaposabbnak kellett volna lennie.

Mit gondol a szakértő a Wix sebezhetőségéről?

Császár Viktor SEO szakértő véleménye szerint a Wix Vibe platformján felfedezett sebezhetőség komoly figyelmeztetés a vállalatok számára. „A digitális világban a biztonság minden eddiginél fontosabb, és ez az esemény rávilágít arra, hogy a felhőalapú alkalmazások fejlesztésekor nem elég csak a funkcionalitásra összpontosítani. A sebezhetőségek felfedezése és javítása alapvető fontosságú ahhoz, hogy a felhasználók biztonságban érezhessék magukat” – mondta Viktor. „A Wix esetében a sebezhetőség felfedezése és kihasználása meglepően egyszerű volt, ami arra utal, hogy a platform biztonsági intézkedései nem voltak megfelelően kidolgozva.”

„Fontos, hogy minden vállalat, amely digitális szolgáltatásokat nyújt, folyamatosan figyelemmel kísérje a biztonsági protokollokat és alkalmazásait, hogy elkerülje a hasonló helyzeteket” – tette hozzá.

Ha többet szeretne megtudni Császár Viktor munkásságáról, látogasson el a weboldalára.

Forrás: SearchEngineJournal.com